Python Digital Forensics - Introdução
Este capítulo lhe dará uma introdução ao que é a ciência forense digital e sua revisão histórica. Você também entenderá onde pode aplicar a perícia digital na vida real e suas limitações.
O que é Digital Forensics?
A forense digital pode ser definida como o ramo da ciência forense que analisa, examina, identifica e recupera as evidências digitais residentes em dispositivos eletrônicos. É comumente usado para o direito penal e investigações privadas.
Por exemplo, você pode contar com evidências de extração forense digital no caso de alguém roubar alguns dados em um dispositivo eletrônico.
Breve revisão histórica da perícia digital
A história dos crimes informáticos e a revisão histórica da perícia digital é explicada nesta seção conforme abaixo -
Década de 1970 a 1980: Primeiro crime de computador
Antes desta década, nenhum crime de computador foi reconhecido. No entanto, se é para acontecer, as leis então existentes tratam disso. Mais tarde, em 1978, o primeiro crime de computador foi reconhecido no Florida Computer Crime Act, que incluiu legislação contra modificação não autorizada ou exclusão de dados em um sistema de computador. Mas com o passar do tempo, devido ao avanço da tecnologia, a gama de crimes de computador cometidos também aumentou. Para lidar com crimes relacionados a direitos autorais, privacidade e pornografia infantil, várias outras leis foram aprovadas.
1980-1990: Década de Desenvolvimento
Esta década foi a década de desenvolvimento para a forense digital, tudo por causa da primeira investigação (1986) em que Cliff Stoll rastreou o hacker chamado Markus Hess. Durante esse período, dois tipos de disciplinas forenses digitais foram desenvolvidas - a primeira foi com a ajuda de ferramentas e técnicas ad-hoc desenvolvidas por profissionais que a consideravam um hobby, enquanto a segunda foi desenvolvida pela comunidade científica. Em 1992, o termo“Computer Forensics”foi usado na literatura acadêmica.
2000-2010: Década de Padronização
Após o desenvolvimento da forense digital até um certo nível, houve a necessidade de fazer alguns padrões específicos que podem ser seguidos durante a realização de investigações. Conseqüentemente, várias agências e órgãos científicos publicaram diretrizes para análise forense digital. Em 2002, o Grupo de Trabalho Científico em Evidências Digitais (SWGDE) publicou um artigo intitulado “Melhores práticas para Computação Forense”. Outra pena foi um tratado internacional liderado pela Europa, a saber“The Convention on Cybercrime”foi assinado por 43 nações e ratificado por 16 nações. Mesmo após tais normas, ainda há necessidade de resolver alguns problemas que foram identificados pelos pesquisadores.
Processo de Perícia Digital
Desde o primeiro crime de computador em 1978, há um grande incremento nas atividades criminosas digitais. Devido a esse incremento, há necessidade de uma forma estruturada para lidar com eles. Em 1984, um processo formalizado foi introduzido e, depois disso, um grande número de processos de investigação forense computacional novos e aprimorados foram desenvolvidos.
Um processo de investigação forense computacional envolve três fases principais, conforme explicado abaixo -
Fase 1: Aquisição ou Imagem das Exposições
A primeira fase da análise forense digital envolve salvar o estado do sistema digital para que possa ser analisado posteriormente. É muito semelhante a tirar fotografias, amostras de sangue, etc. de uma cena de crime. Por exemplo, envolve a captura de uma imagem de áreas alocadas e não alocadas de um disco rígido ou RAM.
Fase 2: Análise
A entrada desta fase são os dados adquiridos na fase de aquisição. Aqui, esses dados foram examinados para identificar evidências. Esta fase dá três tipos de evidências como segue -
Inculpatory evidences - Essas evidências apóiam uma determinada história.
Exculpatory evidences - Essas evidências contradizem uma dada história.
Evidence of tampering- Essas evidências mostram que o sistema foi temperado para evitar a identificação. Inclui examinar os arquivos e o conteúdo do diretório para recuperar os arquivos excluídos.
Fase 3: Apresentação ou Relatório
Como o nome sugere, esta fase apresenta a conclusão e as evidências correspondentes da investigação.
Aplicações de Perícia Digital
A forense digital trata de reunir, analisar e preservar as evidências que estão contidas em qualquer dispositivo digital. O uso de análise forense digital depende da aplicação. Conforme mencionado anteriormente, ele é usado principalmente nas duas aplicações a seguir -
Lei criminal
No direito penal, as provas são coletadas para apoiar ou contestar uma hipótese no tribunal. Os procedimentos forenses são muito semelhantes aos usados em investigações criminais, mas com diferentes requisitos e limitações legais.
Investigação Privada
Principalmente o mundo corporativo usa a perícia digital para investigação privada. É usado quando as empresas suspeitam que os funcionários podem estar realizando uma atividade ilegal em seus computadores, que é contra a política da empresa. A perícia digital fornece um dos melhores caminhos para a empresa ou pessoa tomar ao investigar alguém por má conduta digital.
Ramos da perícia digital
O crime digital não se restringe apenas aos computadores, no entanto, hackers e criminosos estão usando pequenos dispositivos digitais, como tablets, smartphones etc. em uma escala muito grande. Alguns dos dispositivos possuem memória volátil, enquanto outros possuem memória não volátil. Portanto, dependendo do tipo de dispositivos, a perícia digital tem os seguintes ramos -
Computação Forense
Este ramo da forense digital lida com computadores, sistemas embarcados e memórias estáticas, como drives USB. Uma ampla gama de informações, de registros a arquivos reais na unidade, pode ser investigada em computação forense.
Forense móvel
Trata-se de investigação de dados de dispositivos móveis. Este ramo é diferente da computação forense no sentido de que os dispositivos móveis possuem um sistema de comunicação embutido que é útil para fornecer informações úteis relacionadas à localização.
Análise da rede
Trata-se do monitoramento e análise do tráfego da rede de computadores, tanto local quanto WAN (rede de longa distância) para fins de coleta de informações, coleta de evidências ou detecção de intrusão.
Análise forense de banco de dados
Este ramo da forense digital lida com o estudo forense de bancos de dados e seus metadados.
Habilidades necessárias para investigação forense digital
Os examinadores forenses digitais ajudam a rastrear hackers, recuperar dados roubados, acompanhar os ataques de computador até sua origem e auxiliar em outros tipos de investigações envolvendo computadores. Algumas das principais habilidades necessárias para se tornar um examinador forense digital, conforme discutido abaixo -
Excelentes capacidades de pensamento
Um investigador forense digital deve ser um pensador excepcional e deve ser capaz de aplicar diferentes ferramentas e metodologias em uma tarefa específica para obter o resultado. Ele / ela deve ser capaz de encontrar diferentes padrões e fazer correlações entre eles.
Habilidades técnicas
Um examinador forense digital deve ter boas habilidades tecnológicas, pois este campo requer o conhecimento de rede, como o sistema digital interage.
Apaixonado por segurança cibernética
Como o campo da perícia digital trata de solucionar crimes cibernéticos e essa é uma tarefa tediosa, é preciso muita paixão para que alguém se torne um investigador forense digital ace.
Habilidades de comunicação
Boas habilidades de comunicação são essenciais para a coordenação com várias equipes e para extrair quaisquer dados ou informações ausentes.
Hábil na elaboração de relatórios
Após a implementação bem-sucedida da aquisição e análise, um examinador forense digital deve mencionar todos os resultados no relatório final e na apresentação. Portanto, ele deve ter boas habilidades de elaboração de relatórios e atenção aos detalhes.
Limitações
A investigação forense digital oferece certas limitações, conforme discutido aqui -
Necessidade de produzir evidências convincentes
Um dos maiores contratempos da investigação forense digital é que o examinador deve cumprir os padrões exigidos para a prova no tribunal, pois os dados podem ser facilmente adulterados. Por outro lado, o investigador forense de computador deve ter conhecimento completo dos requisitos legais, manuseio de evidências e procedimentos de documentação para apresentar evidências convincentes no tribunal.
Ferramentas de investigação
A eficácia da investigação digital reside inteiramente na experiência do examinador forense digital e na seleção da ferramenta de investigação adequada. Se a ferramenta utilizada não estiver de acordo com os padrões especificados, no tribunal, as evidências podem ser negadas pelo juiz.
Falta de conhecimento técnico do público
Outra limitação é que alguns indivíduos não estão completamente familiarizados com a computação forense; portanto, muitas pessoas não entendem esse campo. Os investigadores devem comunicar suas descobertas aos tribunais de forma que todos possam compreender os resultados.
Custo
Produzir evidências digitais e preservá-las é muito caro. Portanto, esse processo pode não ser escolhido por muitas pessoas que não podem arcar com os custos.